Los usuarios de las cámaras de vídeo de Eufy están informando de que los flujos de vídeo parecen haberse mezclado.
Al parecer, no se trata tanto de que alguien pueda entrar a hurtadillas como el usuario X y husmear en el vídeo de X de forma remota, sino que a veces, cuando el usuario X se conecta, acaba viendo la cuenta de Y.
Por lo que hemos visto, el usuario X no puede forzar esta confusión, y si lo hace, entonces X no puede predecir quién va a ser Y.
En otras palabras, el fallo, si es que lo hubo, no parece que se haya aprovechado de forma fiable, para ningún tipo de ataque dirigido.
De hecho, un usuario de Australia observó que él y su esposa, supuestamente conectados a la misma cuenta con sus propias direcciones de correo electrónico, acabaron siendo redirigidos a dos cuentas completamente diferentes y cada uno tuvo acceso a fuentes no relacionadas e incorrectas.
No es la primera vez que oímos hablar de un SNAFU como éste, en el que los cables virtuales se cruzaron dentro del propio backend de una empresa de videovigilancia, provocando que los clientes no sólo perdieran el rastro de sus propias cámaras de vídeo, sino que también tuvieran acceso a las de otros.
En un caso, hace tres años, un usuario de un servicio de vídeo en la nube ofrecido por una empresa británica llamada Swann recibió una notificación de vídeo que mostraba imágenes de vigilancia de la cocina, pero no de la cocina de la casa del usuario.
De forma divertida, si es que esa es la palabra correcta, la víctima de este incidente resultó ser un empleado de la BBC, que estaba disfrutando del fin de semana, y al que le regalaron una historia ideal para escribir la semana siguiente.
En ese incidente, el proveedor de cámaras culpó a un error humano, ya que dos cámaras se configuraron accidentalmente con un “identificador único”, dejando al sistema incapaz de decidir qué cámara pertenecía a cada cuenta.
Aunque el proveedor descartó que se tratara de un “caso aislado”, la BBC localizó un caso aún más divertido (aunque no menos preocupante) del mismo problema en el que un usuario recibió un vídeo de vigilancia de una propiedad que parecía un pub.
Tras varios días de búsqueda, el usuario consiguió identificar el pub en Internet y descubrir que, por casualidad, estaba a sólo 8 kilómetros de distancia.
Así que fue allí y se fotografió en la cervecería, a través de la webcam del propietario del pub, pero utilizando su propia cuenta online:
Great to meet the manager @newtownlinford and share our concerns that @swannsecurity remote access CCTV system is giving us images from his cameras in place of our own. Bizarre to be able to take a selfie using someone else's CCTV camera pic.twitter.com/fTgmAVoPle
— The Obscure Brewer (@Battwave) June 3, 2018
No hemos visto ningún informe de usuarios de Eufy que hayan conseguido reconocer a alguien (o algún lugar) en los vídeos que dicen haber visto por error.
Sin embargo, no dudamos de que muchos vídeos, al menos en algunas ocasiones, revelan datos personales o información precisa sobre la ubicación que debería mantenerse en privado.
¿Qué hacer?
El problema aquí es que incluso si esto resulta ser un problema transitorio del lado del servidor que ya ha sido solucionado, en lugar de una vulnerabilidad explotable en el firmware de la cámara o en la app de la compañía, la pregunta sigue siendo: “¿Y si vuelve a ocurrir?”
De hecho, se puede argumentar que los problemas de ciberseguridad que acaban siendo rastreados hasta las vulnerabilidades de una app que luego puedes actualizar, y en la que puedes comprobar por ti mismo que has actualizado, pueden considerarse más cómodamente “bugs cerrados” que los fallos de seguridad que aparecen durante un tiempo y luego aparentemente desaparecen sin explicación.
Por lo tanto, nuestros consejos son:
- Estar atentos a una actualización oficial de Eufy que explique lo sucedido. Suponemos que cualquier declaración de este tipo no sólo podrá describir lo que salió mal, si es que hubo algo, sino lo que se ha hecho para reducir la posibilidad de que vuelva a ocurrir.
- Identificar las cámaras que podrían revelar información sensible si alguien viera la grabación, incluso por casualidad. Considera la posibilidad de apagarlas hasta que se solucione el supuesto problema. Por ejemplo, una vista general de “quién está ahí” de la fachada de un almacén que se puede ver desde la calle de todos modos probablemente merezca la pena dejarla encendida, mientras que una cámara dentro de tu zona de estar probablemente no lo sea.
- Si acabas conectado por error a la señal de vídeo de otra persona, haz lo correcto y sal lo antes posible. Es tentador “echar un vistazo” con la excusa de que no es tu culpa que las señales se hayan mezclado, pero si sabes que es un vídeo privado, haz lo correcto y desconéctate.